Skip to main content

Honeypot

Was ist ein Honeypot?

Eine Redewendung besagt, dass man Mäuse am besten mit Speck fängt. Diese Redewendung lässt sich auch auf sogenannte “Honeypots” übertragen. In einem Honeypot werden jedoch keine Mäuse in die Falle gelockt, sondern Cracker, Hacker und andere Cyberkriminelle, die Angriffe auf Computersysteme durchführen. Ein Honeypot stellt somit eine Art Sicherheitssystem für Computernetzwerke dar und wird in unterschiedlichen Varianten und Ausführungen eingesetzt.

Honeypots werden in erster Linie eingesetzt, um die Sicherheit von Computernetzwerken zu erhöhen. In diesem Kontext kommen unterschiedliche Techniken zum Einsatz. Neben Honeypots, die das Verhalten eines Nutzers simulieren, kommen auch vorwiegend Honeypots zum Einsatz, die ganze Computernetzwerke oder bestimmte Dienste eines Computernetzwerks nachahmen. Dabei werden sie unabhängig von dem realen Netzwerk betrieben. Bereits bekannte Sicherheitslücken im System werden absichtlich offengelassen, um Cyberkriminellen eine möglichst breite Fläche für Angriffe zu bieten. Honeypots werden somit primär als Ablenkung eingesetzt, um das Verhalten von Hackern, Crackern und Cyberkriminellen zu studieren und zu speichern.

Das Hauptziel ist, wichtige Informationen über potenzielle Angriffsmuster zu sammeln. Wenn ein Hacker den Honeypot angreift, speichert dieser alle Aktionen des Angreifers, damit die Administratoren diese später auswerten können. Im Idealfall können diese Daten genutzt werden, um potenzielle Schwachstellen im realen Netzwerk zu entdecken und dieses gegen Hacker-Angriffe noch sicherer zu machen.

Prinzipien

Honeypots existieren in unterschiedlichen Varianten. In vielen Fällen wird ein virtuelles Netzwerk erstellt, das sich von einem realen Netzwerk in keiner Weise unterscheidet. Charakteristisch für ein präpariertes Netzwerk ist, dass virtuelle Rechner und gefälschte Daten absichtlich von Admins so konfigurierte werden, dass diese für potenzielle Angreifer einen Nutzen haben. Damit wird dem Hacker suggeriert, dass in dem Honeypot Daten und Ressourcen vorhanden sind, die er für kriminelle Zwecke missbrauchen kann. Wenn der Angreifer in das Netzwerk eindringt, sieht er jedoch nur das, was der Administrator ihn sehen lassen möchte und er eigentlich keinen Schaden verursachen kann.

Ein Honeypot wird in der Regel auf einem externen Server eingerichtet, wobei ein Fake-Netzwerk selbstverständlich auch virtuell auf einem System erstellt werden kann. Das Honeypot-Netzwerk wird durch spezielle Mechanismen vom realen Netzwerk getrennt, sodass der Angreifer nur das gefälschte Netzwerk wahrnehmen soll. Der wesentliche Vorteil besteht in der Tatsache, dass alle Aktionen des Hackers aufgezeichnet werden, wodurch eine genaue Analyse des Angriffs ermöglicht wird. Die auf diese Weise gewonnenen Informationen können dann genutzt werden, um das reale Netzwerk vor Angriffen sicherer zu machen.

Die unterschiedlichen Arten

Honeypots werden grundsätzlich in zwei unterschiedliche Klassen eingeteilt, und zwar

  • Low-Interaction Honeypots
  • High-Interaction Honeypots

Bei einem Low-Interaction Honeypot handelt es sich in vielen Fällen um ein Programm, welches dazu eingesetzt wird, um einen oder mehrere Dienste zu emulieren. Der Informationsgewinn bei einem Low-Interaction Honeypot ist deswegen sehr beschränkt. Diese Honeypot-Variante kommt in erster Linie beim Sammeln statistischer Informationen zum Einsatz. Ein erfahrener Angreifer, hat in der Regel keine allzu großen Probleme, um diese Variante zu erkennen. Um automatisierte Cyberangriffe wie beispielsweise Botnetze aufzeichnen und analysieren zu können, reicht ein Low-Interaction Honeypot allerdings vollkommen aus. Einige Beispiele für LI-Honeypots sind honeyd, mwcollected, Nepenthes sowie Amun.

High-Interaction Honeypots zeichnen sich dadurch aus, dass sie zumeist vollständige Server sind, die unterschiedliche Dienste anbieten. Sie sind komplizierter einzurichten und zu administrieren als die Low-Interaction-Variante. Der Schwerpunkt bei dieser Art von Honeypots liegt nicht auf automatisierten Cyberangriffen, sondern zielt darauf aus, manuelle Cyberangriffe zu beobachten und aufzuzeichnen, um so neue Exploits und Vorgehensweisen der Hacker möglichst früh zu erkennen. Aus diesem Grund werden High-Interaction Honeypots als besonders lohnende Angriffsziele angegeben, die für den Angreifer einen hohen Wert haben.

Vor- und Nachteile

Der Einsatz eines Honeypots bringt zahlreiche Vorteile und einige Nachteile mit sich. Auf der einen Seite lassen sich durch die Anwendung eines Honeypots wichtige Rückschlüsse auf Sicherheitslücken im Netzwerk ziehen. Auf der anderen Seite muss der Honeypot von den Hackern in den Weiten des World Wide Web erst einmal ausfindig gemacht werden. Folgende Vor- und Nachteile haben Honeypots:

Pro
  • Ablenkung der Angreifer von dem realen Netzwerk
  • Sammeln von Informationen über neue
  • Angriffsmethoden
  • Neue Erkenntnisse durch die Analyse der Angriffsmethoden
  • Angriffe können rückverfolgt werden
Contra
  • Wenn Honeypots nicht ausreichend isoliert sind, können sich Angriffe auf produktive Systeme ausweiten
  • Überwachung und Analyse ist mit einem großen Aufwand verbunden
  • Angreifer können angelockt werden, die anschließend versuchen, in die produktiven Systeme einzudringen.

Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG

Honeypot
2.3 (46.67%) 3 votes